论文阅读总结——Exposing the Rat in the Tunnel: Using Traffic Analysis for Tor-based Malware Detection
论文介绍
该论文2022年发表在ACM SIGSAC Conference,是一篇使用流量分析检测基于Tor的恶意软件的论文。
背景
Tor
原理介绍
The Onion Router(Tor):是一个三重代理,是目前使用最广泛的开源匿名通信软件。可以提供用户匿名和服务器匿名这两种服务。用户匿名是通过一个包含三个洋葱路由组成的路径实现的;服务器匿名则是通过一个包含六个洋葱路由的HS(Hidden Services)路径来实现。
特点
1)可复用:一个TOR环路可以被很多人同时使用,说的具体一点,hop与hop之间的每个TLS连接都包括了很多不同用户的TCP数据流;
2)节点选择随机性:TOR客户端随机选择了入口节点,入口节点随机选择了中间节点,中间节点又随机选择了出口节点;
3)应用无关:独立于操作系统和浏览器的严格的基于数字证书的身份认证机制
当前相关研究存在的挑战
1、使用IP或者域名黑名单的方法、识别TCP流的频率的方法和基于DNS解析记录的方法对基于Tor的恶意软件检测的有效性很低;
2、传统方法不能检测基于Tor的隐形变体,也不能区分良性和恶意Tor连接。
多标签分类
与多类别分类不同的是,多标签分类中一个输入可能对应有多个输出标签。
链接: 多标签分类详解.
数据收集
二进制文件收集
1、收集:恶意软件的Tor二进制文件收集:从VirusTotal(VT)平台按照以下三个规则搜索:tor关键字、onion关键字和tor连接相关的关键字,如“ tor.exe”和“consensus”,并下载二进制文件,VT中的文件对象包含几个有用的属性,包括勒索软件、间谍软件等恶意软件行为的代表性特征和威胁类别标签。
2、验证:
1)是否是Tor连接:下载收集的二进制文件的PCAPs,检查Tor连接流量。本文使用Zeek生成基于应用协议组织PCAP信息的日志,使用conn.log(检查tor连接)和ssl.log(验证路由器证书);conn中包含TCP流量的连接详细信息,日志中包含验证步骤的SSL握手证书详细信息。
2)是否为恶意软件的二进制文件:使用VT恶意得分(检测二进制文件为恶意的VT引擎的数量)来确保收集的二进制文件确实是恶意的,最终过滤得到523个恶意Tor二进制文件。
————————————————
版权声明:本文为CSDN博主「番茄炒西红柿炒蛋」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_50604294/article/details/132084553
扫一扫
1860
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
